一、背景介绍
近日,市委网信办技术支撑单位监测到Apache Dubbo官方发布安全公告,Apache Dubbo存在反序列化漏洞(CVE-2021-43297)。
1.1漏洞描述
Dubbo hessian-lite 3.2.11及其早期版本存在反序列化漏洞,这可能导致恶意代码执行。大多数Dubbo用户默认使用Hessian2序列化/反序列化协议,在Hessian捕获期间出现异常,Hessian将注销一些用户信息,这可能会导致远程命令执行。
1.2漏洞编号
CVE-2021-43297
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
Apache Dubbo 2.6.x <2.6.12
Apache Dubbo 2.7.x <2.7.15
Apache Dubbo 3.0.x <3.0.5
2.2 修复建议
请根据使用的Dubbo版本,升级到指定版本。
使用Dubbo 2.6.x的用户,请升级到2.6.12。
使用Dubbo 2.7.x的用户,请升级到2.7.15。
使用Dubbo 3.0.x的用户,请升级到3.0.5
下载地址如下:
https://github.com/apache/dubbo/releases